FAQ de l'offre : Ségur du numérique en santé

Les investissements opérationnels réalisés pour définir cette démarche ou la mettre en œuvre sont bien valorisables au titre de l'appel à financement Domaine 2.

A titre d’exemple, l’achat d’un équipement pour « le cloisonnement de son infrastructure de sauvegarde » ou l’achat d’un robot cassette pour avoir « une copie hors ligne » sont bien valorisables en ce qui concerne les dépenses réalisées pendant la phase opérationnelle.

Les tests relatifs au PCA sont spécifiques et visent à mettre en pratique les processus opérationnelles de continuité et de reprise d'activité au niveau des services. L’obligation de réalisation d’un exercice de crise cyber ne peut donc pas être remplie par la réalisation d’un exercice de terrain du PCA.

Des kits d’exercices de crise cyber prêts à l’emploi sont disponibles sur le site de l’ANS au lien suivant : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-1

Il est en revanche possible de réaliser simultanément un exercice de cybercrise (dans le format connu, et notamment exigé au titre du Domaine 1) et un exercice de continuité d'activité au sein des services.

Un test PCA ou exercice terrain simule en temps réel l’indisponibilité d’une ou plusieurs ressources critiques et teste la mise en œuvre des solutions de continuité d’activité à l’échelle des services de soins (niveau opérationnel). Il est également possible d’y éprouver la coordination et la conduite (niveau tactique) ainsi que le pilotage (niveau stratégique).

Des ressources méthodologiques sont mises à disposition par l’ANS et accessibles au lien suivant : https://esante.gouv.fr/media/12261

Il est fortement recommandé de réaliser un test portant sur les 4 scénarios d'indisponibilités listés dans le kit PCA / PRA proposé par l’ANS : indisponibilité des ressources humaines, indisponibilité bâtimentaires, indisponibilité des fournisseurs et indisponibilité informatique.

Toutefois, seul le test d’un scénario à choisir par le candidat est obligatoire.

• pour les GHT avec plusieurs entités juridiques : le test du PCA doit être réalisé pour un nombre d’entité juridique représentant au moins 66% de l’activité combinée du candidat ;
• pour les structures (hors GHT) ayant plusieurs entités géographiques : le test du PCA doit être réalisé pour un nombre d’entité géographique représentant au moins 66% de l’activité combinée du candidat.

Le test doit avoir être réalisé durant la phase opérationnelle de l'appel à financement, et un calendrier de planification des autres tests doit être soumis. Il n’est pas nécessaire de signer les documents justificatifs de réalisation du test. En revanche, il sera nécessaire fournir le PCA utilisé (s’il n’a pas déjà été soumis dans le cadre de l’objectif D2.O1.C), le scénario de test mis en œuvre ainsi qu’un retour d’expériences du test intégrant un plan d’amélioration continue.

Le Plan Blanc est un dispositif de crise qui permet à un établissement de santé de mobiliser immédiatement les moyens de toute nature dont il dispose en cas d’afflux de patients, ou pour faire face à une situation sanitaire exceptionnelle.

Le Plan de Continuité et de Reprise d’Activité (PCRA) est un plan de réponse du niveau stratégique en cas d’événement perturbateur entraînant une indisponibilité d’une ou plusieurs ressources critiques.

Le PCRA est complémentaire au Plan Blanc. Si ces deux documents peuvent intégrer certaines procédures conjointes, un Plan Blanc ne constitue pas un PCRA.

L’attendu minimal porte sur la formalisation du PCRA cadre (dans le respect de la définition du kit PCA / PRA mis à disposition par l’ANS à l’adresse suivante : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-1) et du PCRA de chaque activité critique ayant fait l’objet d’un BIA.

Le tout peut constituer un document unique ou des documents disjoints complémentaires, aucun format n’étant imposé.

L'atteinte de l’objectif D2.01.C est validé selon les différentes typologies de candidats :

• pour les GHT avec plusieurs entités juridiques, les BIA et PCRA transmis doivent être formalisés pour un nombre d'entités juridiques représentant au moins 66% de l'activité combinée du candidat.
• pour les structures (hors-GHT) ayant plusieurs entités géographiques, les BIA et PCRA transmis doivent être formalisés pour un nombre d'entités géographiques représentant au moins 66% de l'activité combinée du candidat.

Si un des périmètres retenus conformément à la liste dessus est applicable aux établissements constituant le candidat, alors le BIA et le PCRA peut être fourni à l’échelle du candidat.

Le PCA et le PRA portent sur les aspects métiers et organisationnels de l'établissement, au-delà de l'aspect informatique seul.
Il est fortement recommandé de traiter les 4 scénarios d'indisponibilités listés dans le kit PCA / PRA proposé par l’ANS : indisponibilité des ressources humaines, indisponibilité bâtimentaires, indisponibilité des fournisseurs et indisponibilité informatique.

Toutefois, seul le traitement du scénario d'indisponibilité des systèmes d’information et d'un second scénario au choix sont obligatoires pour atteindre les objectifs du D2.O1.C.

L'ensemble des documents afférents au Domaine 2 ainsi que des ressources pédagogiques ([ANS-Formation] - Coorpacademy) et didactiques (à l'exemple du kit PCA / PRA mis à disposition des structures) sont disponibles sur le site de l'ANS en suivant le lien : https://esante.gouv.fr/strategie-nationale/cybersecurite/securite-operationnelle/ressources

Les objectifs du programme ont été élaborés en concertation entre l’ANS et la HAS. Bien qu’ils soient alignés sur les exigences de la certification, seule la HAS est habilitée à délivrer la décision de certification.

L’ensemble des dépenses réalisées pendant la phase opérationnelle pour contribuer à l’atteinte des objectifs du Domaine 2 sont éligibles à un subventionnement. À titre d’exemple, le recours à la prestation externe, l’acquisition d’un SMCA ou encore la mise en œuvre d’un nouveau système de sauvegarde sécurisée sont éligibles – étant entendu que cette liste n’est pas exhaustive.

Il est à noter que l’ensemble des dépenses réalisées durant la phase opérationnelle concourants à l'élaboration du PCRA seront éligibles, y compris si le périmètre dépasse le périmètre minimal défini dans les objectifs qui ne constitue pas une limite.

En ce qui concerne les objectifs visant à « s’inscrire dans une démarche », les investissements opérationnels réalisés pour définir cette démarche ou la mettre en œuvre sont bien valorisables au titre de l’AAF Domaine 2. Les coûts associés à la mobilisation des ressources humaines du candidat sont également éligibles.

Néanmoins, il est à souligner que ces coûts doivent être explicitement justifiés au regard des activités du programme. Aussi, nous recommandons aux établissements de favoriser les dépenses associées à des travaux de prestation intellectuelle, d’acquisition de solutions informatiques, ou des coûts RH associés à la mobilisation de personnels disposant d’une lettre de mission dans le cadre du Domaine 2.Une trame de justification des coûts – similaire dans son formalisme à celle du Domaine 1 – sera également fournie.